Ventajas e implementación de un sistema SIEM

Abstract

El presente trabajo aborda dos objetivos diferentes. Por un lado, y a modo teórico, se demuestra todas las ventajas de implementar una solución SIEM dentro de una organización. También se describe el estado actual de madurez de la última generación de SIEM que podemos encontrar dentro del mercado. Se muestran las ventajas de juntar un SIEM, con un UBA/UEBA y un SOAR. Por otro lado, de modo práctico, se implementa una solución híbrida de SIEM en la que todos los datos de la empresa son almacenados dentro del Data Lake (en este caso mediante ElasticSearch), para posteriormente enviar los eventos más destacados (eventos notables) a Splunk, para una vez almacenados en éste, implementar un SIEM con toda su inteligencia asociada. Por tanto, el objetivo que se ha conseguido demostrar, ha sido que mediante una baja inversión económica, se puede implementar una solución SIEM totalmente funcional dentro de un SOC de una pequeña y mediana empresa.

The present paper solves two different objectives. In the first part, theoretically, we demonstrate all the advantages of implementing a SIEM solution within an organization. At the same time, we describe the current maturity status of the latest generation of SIEM, that we can find within the trade. We have demonstrated the advantages of using a SIEM together with an UEBA/UBA and a SOAR. On the other hand, in a practical way, we have implemented a hybrid solution of SIEM in which all the company's data is stored within the Data Lake (in this case by ElasticSearch), to later send the most relevant events (notable events) to Splunk, for once stored in it, implement a SIEM with all its associated intelligence. Therefore, it has been demonstrated that through a low monetary investment, a fully functional SIEM solution can be implemented within a SOC of a small and medium-sized company.

El present treball aborda dos objectius diferents. Es demostra tots els avantatges d'implementar una solució SIEM dins d'una organització. També es descriu l'estat actual de maduresa de l'última generació de SIEM que podem trobar dins del mercat. Es mostren els avantatges d'ajuntar un SIEM, amb un UBA / UEBA i un SOAR. D'altra banda, de manera pràctica, s'implementa una solució híbrida de SIEM on totes les dades de l'empresa són emmagatzemats dins de Data Lake (en aquest cas mitjançant ElasticSearch), per a posteriorment enviar els esdeveniments més destacats a Splunk, i implementar un SIEM amb tota la seva intel·ligència associada. Per tant, l'objectiu que s'ha aconseguit demostrar, ha estat que mitjançant una baixa inversió econòmica, es pot implementar una solució SIEM totalment funcional dins d'un SOC d'una petita i mitjana empresa.